ビジネスセキュリティ
脅威アクターはAIを使用して、実績のあるTTP(戦術、技術、手順)を加速化させています。攻撃がこの速度で移動する場合、サイバー防御者は独自の戦略を再考する必要があります。
攻撃者と防御者の終わりない軍拡競争の興味深い段階に私たちは立っています。前者はAI、自動化、および様々な技術を使用して、時には壊滅的な効果をもたらしています。実際、あるレポートによると、ランサムウェアサービス(RaaS)グループの80%がAIまたは自動化をフィーチャーとして提供しており、もちろん、セキュリティツールを回避することを目的としたツールの活発な市場も存在します。その結果、データ侵害と関連費用が急増しています。
一方、脅威アクターは以前と同じことをしているだけです。既存の戦術、技術、手順(TTP)を加速化して攻撃を高速化しているのです。例えば、初期アクセスから横方向への移動(ブレークアウト時間)までの時間は、現在は分単位で測定されます。数時間または数日で作業していた防御者にとって、物事を変える必要があります。
30分の警告
ブレークアウト時間が重要なのは、ネットワーク防御者がこの時点で敵に対抗できない場合、初期の侵入が非常に迅速に重大なインシデントになる可能性があるためです。横方向にブレークアウトするまでの平均時間は現在約30分であり、1年前と比較して約29%高速化しています。ただし、一部の観察者は初期アクセスから1分以内に発生するのを見ている場合もあります。
行動の窓が急速に閉じている理由はいくつかあります。脅威アクターは以下の点で改善しています:
- 従業員からの正当な認証情報の盗用・解析・フィッシングがより上手になっています。弱く、再利用され、頻繁に回転しないパスワードがここで役立っています(つまり、ブルートフォース攻撃を容易にします)。多要素認証(MFA)の欠如も同様です。また、パスワードリセットビッシング攻撃、ヘルプデスク担当者になりすましたり、従業員になりすまして電話することで、より上手になっています。正当なログインにより、内部アラームをトリガーすることなくユーザーになりすますことができます。
- ゼロデイエクスプロイトを使用してエッジデバイス(例えばIvanti EPMM)をターゲットにして、社内のセキュリティツールに隠れながらネットワークに足がかりを得ます。
- 偵察でより上手になっており、オープンソース技術とAIを使用して、高価値ターゲット(特権認証情報を持つ)に関する公開情報をウェブから取得します。彼らは組織構造、内部プロセス、IT環境に関する情報を収集して、攻撃を合理化し、ソーシャルエンジニアリングスクリプトを設計します。
- AIを使用した搾取後のアクティビティを自動化しており、認証情報の収集、ランディングの生活、およびマルウェア生成のためのAI駆動型スクリプトを使用します。
- サイロされたチームとポイントソリューション間のギャップを悪用しています。その結果、前者にとって正当に見えるアクティビティは、後者にとっては異常に見えるかもしれませんが、全体的な可視性がなければ、エッジケースは調査されない可能性があります。場合によっては、脅威アクターはEDRを無効化または回避するための意図的な措置を講じます。
- ランディング(LOTL)技術の生活を使用して隠れています。これは有効な認証情報、正当なリモートアクセスツール、SMBやRDPなどのプロトコルを使用することを意味し、通常のアクティビティと混ざります。
この時点で脅威アクターをキャッチすることは必須です。特に、流出(開始する場合)もAIによって加速されています。昨年記録された最速のケースはわずか6分でした。2024年の4時間29分から短縮されています。
(AI)火で火と戦う
攻撃者がネットワークに昇格した特権でアクセスするか、監視されていないエンドポイントに隠れたままでいられる場合、その後横方向に移動してアラームを発せず、人間による対応は多くの場合遅すぎます。ソーシャルエンジニアリングを制限し、疑わしい行動の検出を改善するために防御態勢を更新し、対応時間を加速する必要があります。
AI駆動の拡張検出と対応(XDR)とマネージド検出と対応(MDR)は、疑わしい行動を自動的にフラグし、コンテキストデータを使用してアラート忠実度を改善し、必要に応じて修復することで、ここで役立つことができます。高度なオファリングは、アラートをクラスタリングし、伸びているSOCチームのための自動応答を生成することで、脅威ハンティングのような高価値タスクで作業する時間を解放することで、役立つこともあります。
エンドポイント、ネットワーク、クラウド、およびその他のレイヤー全体に洞察を持つ単一の統合プロバイダーは、ポイントソリューション間に存在するギャップを照らし出し、潜在的な攻撃パスの完全な可視性を提供することができます。そのようなツールがエッジデバイスの可視性も持っていること、およびセキュリティ情報イベント管理(SIEM)およびセキュリティオーケストレーションと対応(SOAR)ツールと継ぎ目なく連携することを確認してください。
脅威インテリジェンスと脅威ハンティングは、AI支援の敵と歩調を合わせるために不可欠です。両方を活用するアプローチにより、チームは重要なことに焦点を当てるのに役立ちます。攻撃者がどのようにターゲットにされているか、そして彼らがどこに移動する可能性があるかです。AI エージェントは、これらのタスクをより多く自律的に引き継ぎ、対応時間をさらに高速化するために、時間内に使用できるかもしれません。
主導権を取り戻す
対応時間を加速するための他の方法があります。以下を含みます:
- エンドポイント、ネットワーク、およびクラウド環境全体での継続的な監視と認識。
- 疑わしいアクティビティに対処するために実行する必要があるセッション終了、パスワードリセット、またはホスト分離などの自動化ステップ。必要に応じて、アラートを調査するための自動分析と人間による評価を組み合わせて、脅威を迅速に抑制するために必要なステップを通知します。
- 最小限の特権アクセスポリシー、マイクロセグメンテーション、およびゼロトラストの他の特徴により、厳密なアクセス制御を確保し、攻撃のブラスト半径を最小化します。
- パスワードマネージャーで管理される強力で一意の認証情報に基づいており、フィッシング耐性のあるMFAによって支えられた強化されたアイデンティティ中心のセキュリティ。
- 更新されたヘルプデスクプロセス(例えば、帯域外コールバック)と効果的な認識トレーニングを含むアンチビッシング手順
- エントリで自動パスワード推測攻撃をブロックするブルートフォース保護。
- 武器化される可能性のある露出した従業員および企業情報についてのソーシャルメディアおよびダークウェブの継続的な監視。
- メモリの「カムフラージュ解除」に関するスクリプトとプロセスの監視を行い、LOTL動作をスポットし、ブロックします。
- 疑わしいファイルのクラウドサンドボックス実行により、ゼロデイエクスプロイト脅威を軽減します。
これらのステップは単独では万能な解決策ではありません。しかし、層状にされ、信頼できるサプライヤーからのAI駆動MDR/XDRに依存している場合、防御者が主導権を取り戻すのに役立つことができます。それは軍拡競争かもしれませんが、根本的に終わりが見えないものです。それは追いつく時間があることを意味しています。
